我们所处的是一个数字化的时代,随着数据量的日益増大,高防服务器对各种技术的应用也在持续扩张,呈爆炸式增长的数据在网络中流动。在这种情况下,假如没有适当的安全机制,那么每个网络就都可以和其他网络相互访问,而无法对合法的访问行为和非法的访问行为进行任何区分。

       控制网络访问的基本步骤之一,就是在网络内控制数据流量。而实现这个目标的方法之一,就是使用访问控制列表(常称作ACL)。ACL不仅简便高效,而且在所有主流 Cisco产品上都可以使用。

       主要讨论如何在 Cisco IOS和其他设备上应用和配置ACL来实现流量过滤。除此之外,本章还对IP地址、IP分类、子网及掩码进行了简要的介绍。

使用ACL进行流量过滤

       Cisco IOS具有限制流量流入式流出网络的功能,因为它为ACL提供了流量过滤功能。使用ACL有时也称为过滤,这是因为ACL可以通过放行和拒绝网络访问的方式,对流量进行控制。

1、ACL概述
       ACL通过放行和拒绝语句控制网络访问,以此实现安全策略,它是端到端安全解决方案的必要组成部分。然而,在实施公司安全策路时,除了ACL之外,诸如防火墙、加密与认证、入侵检测与防御解决方案等产品和技术也同样必不可少。

       ACL可以应用于很多场合,其中最为常见的是以下情形。

       1.过滤邻居设备间传递的路由信息。
       2.控制交互访问,以此阻止非法访问设备的行为一一例如对 Console接口、 Telnet或SSH访问实施控制。
       3.控制穿越设备的流量和网络访问。
       4.通过限制对路由器上菜些服务的访问来保护路由器,比如HTP(超文本传输协议)、SNMP(简单网络管理协议)及NTP(网络时间协议)等。
       5.为DDR(按需拨号)路由定义感兴趣流。
       6.为 Psec VPN定义感兴趣流。
       7.能够以多种方式在1OS中突现Q0S(服务质量)特性
       8.在其他安全技术中的扩展应用(比如TCP拦截和IOS防火墙)。

       ACL可以为所有访问和穿越网络的流量提供基本的安全保障。如果不配置ACL,所有穿过路由器的数据包都可以进入网络的各个部分中。

       比如,ACL可以允许一台主机访问 Internet,同时却阻止其他主机对Internet的访问。如图1所示,主机A可以访问 Internet上的资源,同时主机B的访问就会被拒绝。ACL也可以在路由器接口判断哪些类型的流量应该放行,哪些类型的流量则需要阻塞。比如,它可以放行所有HTP流量,同时阻塞FTP流量。当然,这些只是最简单的例子,比它们复杂得多的案例也可以通过ACL来实现。

2、何时配置ACL

      那些配置在设备上的ACL可以作为网络的第一道防线。实现这道防线的方法是将ACL部署在内网(受保护的区域)和外网(不受保护的区域如 Internet)之间的路由器、交换机或防火墙上。另外,也可以将ACL部署在位于同一网络两部分之间的设备上,通过这种方式可以控制出入网络某个部分的流量。另一种应用ACL的场合是过滤某台设备出方向或入方向的流量,就同时对出/入的流量实施过滤。定义ACL应该针对特定的协议及特定的端口/源/目的地址,这样才能针对不同的流量实现更加精确的访问控制。